想练习手工杀毒的实习生请进
别忙着动手。三思后行。不要勉强。沙盘下运行样本是体现不到木马群的真正实力的:
1. 沙盘下不能安装服务和驱动
2. 沙盘下的进程难以对沙盘外的其他进程进行操作,因此插入进程行为会被阻止,违背了考验前提。
3. 沙盘关闭后,病毒不再运行,体现不出病毒常驻内存对杀毒造成的困难。
沙盘下大量的API和SSDT被HOOK,相当于屏蔽掉了病毒的很多动作。
因此,沙盘一般只用于捕捉病毒创建的文件及访问的注册表,而不适宜作为手工杀毒的演练环境。
如果只在沙盘中运行,这个考验将失去意义。----by 轩辕小聪
。 这里提供给你一个练习手工杀毒的实际操作机会。
附件中的样本是个病毒下载器,无文件感染行为。附件无密码,解压运行即可。
建议:在虚拟机或影子系统中运行此样本(此下载器及其下载的病毒不能穿透影子和虚拟机)。否则,搞出了麻烦,不要怪我没事先提醒。
几点说明:
1、瑞星20.52.20扫此样本,不报毒。但瑞星20.52.20能杀掉其下载的木马。因此,进一步建议:在虚拟机或影子系统中,关闭瑞星所有监控,再运行此样本。
2、样本msnhostin.exe运行后,需访问网络,下载木马。因此,为了得到杀掉其全部木马文件的实践机会,请于连接网络后,再运行此样本,防火墙报警时,请予以放行。
3、目前破坏杀软或其它杀毒辅助工具的病毒比较流行,有鉴于此,建议:不用任何杀软及辅助杀毒工具,就用你的双手/大脑以及WINDOWS XP专业版提供的系统程序搞掂此毒。
4、下载的病毒文件名为随机文件名,且每次都有变化。下载的病毒有插入winlogon.exe和explorer.exe进程的行为(这是“精彩之处”。若不注意在联网状态下边操作边观察,你有可能玩儿不到这“精彩之处”)。这是这个样本的重点。请不要用任何工具阻止病毒的进程插入行为。这样,如果你能搞掂它,才会有所收获。今后,遇到废掉杀软和辅助杀毒工具的这类非感染型病毒时,你自己也可以动手搞掂它。
5、运行此样本前,务必要对WINDOWS XP系统有一个基本的了解。否则,你还是要回头求助杀软或辅助杀毒工具,才能搞掂此毒。
6、关于“辅助杀毒工具”的说明:306安全助手、winindows清理助手、卡卡上网安全助手等均属于“辅助杀毒工具”(
运行这些工具有可能帮你灭掉部分病毒),如果你想提高手工杀毒能力,请不要用此类工具做这次练习;SRENG、Icesword、autoruns等属于“手工杀毒工具”(
运行这些工具,工具本身不会自动帮你灭掉任何病毒),此次练习可以使用。如果这些工具你也不用,就能搞掂此毒及其下载的病毒,那你的手工杀毒水平已经比较高了。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
